1、第第第第1010章章章章Windows2003/2008Windows2003/2008用户帐户和组的管理用户帐户和组的管理用户帐户和组的管理用户帐户和组的管理11.1 11.1 用户账户的管理用户账户的管理用户账户的管理用户账户的管理 11.1.1 用户账户的类型用户账户的类型 11.1.2 内置的用户账户内置的用户账户 11.1.3 建立域用户账户建立域用户账户 11.1.4 域用户账户的属性设置域用户账户的属性设置 11.1.5 管理域用户账户管理域用户账户 11.1.6 建立本地用户账户建立本地用户账户 11.1.1 11.1.1 用户账户的类型用户账户的类型用户账户的类型用户账户的类
2、型 (1)域用户账户)域用户账户域用户账户建立在域控制器的域用户账户建立在域控制器的Active Directory数据库内。用数据库内。用户可以利用域用户账户来登录域,并利用它来访问网络上的资户可以利用域用户账户来登录域,并利用它来访问网络上的资源,例如访问其他计算机内的文件、打印机等资源。源,例如访问其他计算机内的文件、打印机等资源。(2)本地用户账户)本地用户账户本本地地用用户户账账户户建建立立在在Windows 2003/2008独独立立服服务务器器、Windows 2003/2008成成员员服服务务器器的的本本地地安安全全数数据据库库内内,而而不不是是域域控控制制器器内内。用用户户可
3、可以以利利用用本本地地用用户户账账户户来来登登录录此此计计算算机机,但是只能够访问这台计算机内的资源,无法访问网络上的资源。但是只能够访问这台计算机内的资源,无法访问网络上的资源。11.1.2 11.1.2 内置的用户账户内置的用户账户内置的用户账户内置的用户账户 (1)Administrator(系统管理员账户系统管理员账户)Administrator拥有最高的权限,可以用它来管理计算机拥有最高的权限,可以用它来管理计算机与域内的设置,例如建立、更改、删除用户与组账户、与域内的设置,例如建立、更改、删除用户与组账户、设置安全策略、设置用户帐户的权限等。设置安全策略、设置用户帐户的权限等。(2
4、)Guest(客户账户客户账户)Guest是供临时用户使用的账户,例如提供偶尔需要登录、是供临时用户使用的账户,例如提供偶尔需要登录、或者仅登录一次的用户使用,以便访问网络上的资源。或者仅登录一次的用户使用,以便访问网络上的资源。Guest账户默认状态为账户默认状态为“禁用禁用”,使用前需开启,开启,使用前需开启,开启方法见方法见P283图图9-45。11.1.3 11.1.3 建立域用户账户建立域用户账户建立域用户账户建立域用户账户 必必须须使使用用“Active Directory用用户户和和计计算算机机”管管理理单单元元来来建建立立域域用用户户账账户户。当当使使用用这这个个管管理理单单元
5、元来来建建立立账账户户时时,这这个个账账户户会会被被建建立立在在MMC控控制制台台所所找找到到的的第第一一台台域域控控制制器器内内,以以后后该该账账户户会会被被自自动动复复制制到到此此域域内内的的所所有有域域控控制制器内。器内。在在每每个个用用户户账账户户添添加加完完成成后后,活活动动目目录录都都会会为为其其建建立立一一个个惟惟一一的的安安全全识识别别码码(Security Identifier,SID),Windows 2008系系统统内内部部是是利利用用这这个个SID来来代代表表该该用用户户,有有关关的的权权限限设设置置等等都都是是通通过过SID来来设设置置的的,而而不不是是利利用用用用户
6、的账户名称。户的账户名称。域用户帐户建立过程:域用户帐户建立过程:域用户帐户建立过程:域用户帐户建立过程:域用户帐户建立过程:域用户帐户建立过程:域用户帐户建立过程:域用户帐户建立过程:图图11-1 “新建对象新建对象-user”对话框对话框 图图11-2 设置密码设置密码11.1.4 11.1.4 域用户账户的属性设置域用户账户的属性设置域用户账户的属性设置域用户账户的属性设置 1用用户户个个人人信信息息的的设设置置所谓所谓“用户个人信息用户个人信息”,就是指姓名、地,就是指姓名、地址、电话、传真、移址、电话、传真、移动电话、公司、部门、动电话、公司、部门、职称、电子邮件、职称、电子邮件、W
7、eb页等。如图页等。如图11-3所示所示 图图11-3 “属性属性”对话框对话框 2账户信息的设置账户信息的设置选择选择“账户账户”选项卡,选项卡,如图如图11-4所示。所示。(1)账户过期)账户过期(2)登录时间的设置)登录时间的设置(3)限制用户只能够限制用户只能够从某些工作站登录从某些工作站登录 图图11-4 “账户账户”选项卡选项卡图图11-5 “登录时段登录时段”窗口窗口图图11-6 设置允许登录的工作站设置允许登录的工作站11.1.5 11.1.5 管理域用户账户管理域用户账户管理域用户账户管理域用户账户 依依 次次 选选 择择“开开 始始”“服服 务务 器器 管管 理理 器器”“
8、Active Directory用用户户和和计计算算机机”选选项项,打打开开“活活动动目目录录用用户户和和计计算算机机”对对话话框框,选选定定用用户户账账户户并并右右击击,打打开开如如图图11-7所所示示的的快快捷捷菜菜单单,然后选择相应的命令来管理域用户账户。然后选择相应的命令来管理域用户账户。(1)复制。)复制。(2)停用账户)停用账户/启用账户。启用账户。(3)重命名。)重命名。(4)删除账户。)删除账户。(5)重设密码。)重设密码。(6)解除被锁定的账户。)解除被锁定的账户。图图11-7 管理域用户账户管理域用户账户11.1.6 11.1.6 建立本地用户账户建立本地用户账户建立本地用
9、户账户建立本地用户账户 本本地地用用户户账账户户是是建建立立在在Windows 2003/2008独独立立服服务务器器或或成成员员服服务务器器的的本本地地安安全全数数据据库库内内,而而不不是是域域控控制制器器内内的的账账户户。用用户户可可以以利利用用本本地地用用户户账账户户登登录录此此账账户户所所在在的的计计算算机机,但但是是无无法法登登录录域域,同同时时只只能能够够访访问问这这台台计计算算机机内内的的资资源源,无无法法访访问问网络上的资源。网络上的资源。11.2 11.2 组的建立组的建立组的建立组的建立 11.2.1 域组的管理域组的管理 11.2.2 本地组的建立本地组的建立 11.2.
10、3 内置的组内置的组 11.2.1 11.2.1 域组的管理域组的管理域组的管理域组的管理 可可以以依依次次选选择择“开开始始”“程程序序”“管管理理工工具具”“Active Directory用用户户和和计计算算机机”选选项项,打打开开“Active Directory用用户户和和计计算算机机”对对话话框框,来添加、删除与管理域组。来添加、删除与管理域组。1域组的添加、删除与更名域组的添加、删除与更名 2添加域组的成员添加域组的成员 图图11-8 “新建对象新建对象-group”对话框对话框 图图11-9 “选择用户、联系人选择用户、联系人或计算机或计算机”对话框对话框 11.2.2 11.
11、2.2 本地组的建立本地组的建立本地组的建立本地组的建立 本本地地组组是是建建立立在在Windows2000/2008独独立立服服务务器器或或成成员员服服务务器器的的本本地地安安全全数数据据库库内内,而而不不是是域域控控制制器器内内。本本地地组组只只能能够够访访问问此此组组所所在在计计算算机机内内的的资资源源,无无法法访访问问网网络络上的资源。上的资源。建建议议只只在在未未加加入入域域的的计计算算机机内内建建立立本本地地组组账账户户,而而不不要要在在加加入入域域的的计计算算机机内内建建立立本本地地组组账账户户,因因为为无无法法通通过过域域内内其其他他任任何何一一台台计计算算机机来来访访问问这这
12、些些账账户户、设设置置这这些些账账户户的的权权限限,因因此此这这些些账账户户无无法法访访问问域域上上的的资资源源,同同时时域域系系统管理员也无法管理这些本地组账户。统管理员也无法管理这些本地组账户。11.2.3 11.2.3 内置的组内置的组内置的组内置的组 Windows 2008域域内内含含多多个个内内置置的的组组,包包括括本本地地域域组组、全全局局 组组 与与 系系 统统 组组。而而 Windows 2008独独 立立 服服 务务 器器、Windows 2008成成员员服服务务器器内内则则包包含含了了一一些些内内置置的的本本地地组组与与系系统统组组。这这些些组组本本身身己己被被赋赋予予了
13、了一一些些权权利利与与权权限限,以以便便让让其其具具备备管管理理域域控控制制器器与与活活动动目目录录的的能能力力。只只要要将将用用户户或或全全局局组组等等账账户户加加入入到到这这些些内内置置的的本本地地域域组组内内,这这些些账户也将具有相同的权利与权限。账户也将具有相同的权利与权限。图图11-10域中内置的组域中内置的组11.311.3用组策略配制帐户策略用组策略配制帐户策略用组策略配制帐户策略用组策略配制帐户策略图图11-11计算机配置子目录树的帐户策略计算机配置子目录树的帐户策略1.1.锁定设置锁定设置锁定设置锁定设置图图11-12计算机配置子目录树的帐户锁定策略计算机配置子目录树的帐户锁定策略2.2.密码要求密码要求密码要求密码要求图图11-13计算机配置子目录树的密码策略计算机配置子目录树的密码策略THANK YOU VERY MUCH THANK YOU VERY MUCH!本章到此结束本章到此结束
浙ICP备2021020529号-1 | 浙B2-20240490 
